Toon posts:

[isa 2004] random poorten geblokkeerd: sites werken niet.

Pagina: 1
Acties:

dinsdag 22 augustus 2006 22:08

Acties:

Verwijderd

Topicstarter
hallo, ik zit met het volgende probleem.
ik heb een isa server staan die alleen proxy server is en logt en verder niets. Al het verkeer mag erdoor en alle filters heb ik uitgezet. Toch krijg ik steeds onbekende pagina's bij sommige gebuikers. De volgende time-out krijg ik bijvoorbeeld wel eens op teletekst.nos.nl

Afbeeldingslocatie: http://img1.the-baboon.nl/small_50dc9efd5cbaaf7f258dfb8e7a1ea1dferrorIE.png

even verversen klikken en dan pakt ie het plaatje wel. als ik de proxyserver in IE UITZET is het probleem opgelost. Het komt dus door de proxyserver/isa server.


Dit zijn de instellingen ervan en wat logboeken. IP adres: 145.58.30.41 is teletekst.nos.nl en denied geeft ' ie aan als de site het niet meer doet. De poorten zijn alleen steeds anders en er staat geen rule ingevuld waaraan de opdracht zich niet houdt zodat deze geblokkeerd wordt. Dit komt omdat er geen rule is die iets blokkeerd. Ik heb service pack 2 geinstalleerd en alle filters en blokkades open gezet, maar nee: geen oplossing.

Afbeeldingslocatie: http://img1.the-baboon.nl/small_a020c438c4160ff2dcd3f6c109c729c9log1.png


Afbeeldingslocatie: http://img1.the-baboon.nl/small_41af8265e78143a1326c4b0d011d2677log2.png

Afbeeldingslocatie: http://img1.the-baboon.nl/small_a217bd09870cd42a87ae2d3cb73a4d42log3.png

Afbeeldingslocatie: http://img1.the-baboon.nl/small_94453107c4103c0246828fd8b3f1149alog4.png

dinsdag 22 augustus 2006 22:13

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

zou me niks verbazen als de isa bak teveel connecties krijgt van 1 specifiek pc (er zit een limiet op in isa als er teveel connectie van 1 ip komen dat deze dan 'dicht' gaat.

zie ook: Cannot connect to a service from a particular client computer in ISA Server 2004

staan er zaken in de eventviewer van die server mbt connections :?

http://www.microsoft.com/...nfiguringConnectionLimits

[ Voor 13% gewijzigd door Zwelgje op 22-08-2006 22:17 ]

A wise man's life is based around fuck you

dinsdag 22 augustus 2006 22:50

Acties:

Verwijderd

Topicstarter
nee staan geen gekke dingen mbt isa server in het logboek

woensdag 23 augustus 2006 11:36

Acties:

Verwijderd

Topicstarter
Zwelgje schreef op dinsdag 22 augustus 2006 @ 22:13:
zou me niks verbazen als de isa bak teveel connecties krijgt van 1 specifiek pc (er zit een limiet op in isa als er teveel connectie van 1 ip komen dat deze dan 'dicht' gaat.

zie ook: Cannot connect to a service from a particular client computer in ISA Server 2004

staan er zaken in de eventviewer van die server mbt connections :?

http://www.microsoft.com/...nfiguringConnectionLimits
het internal network staat op NAT trouwens, dit is goed toch?

donderdag 24 augustus 2006 09:26

Acties:

Verwijderd

Topicstarter
niemand met verstand van ISA hier?

donderdag 24 augustus 2006 09:38

Acties:
  • jipenjanneke
  • Registratie: Juli 2002
  • Laatst online: 21:05

jipenjanneke

Ik heb in de wandelgangen wel eerder gehoord dat de single-adapter-setup van ISA niet altijd werkt zoals je zou willen.
Kun je niet een netwerkadapter bijplaatsen en een ander template kiezen?
Het is dan wel geen oplossing voor je probleem, maar misschien wel een praktisch alternatief.

donderdag 24 augustus 2006 10:40

Acties:

Verwijderd

Topicstarter
jipenjanneke schreef op donderdag 24 augustus 2006 @ 09:38:
Ik heb in de wandelgangen wel eerder gehoord dat de single-adapter-setup van ISA niet altijd werkt zoals je zou willen.
Kun je niet een netwerkadapter bijplaatsen en een ander template kiezen?
Het is dan wel geen oplossing voor je probleem, maar misschien wel een praktisch alternatief.
Dat kan wel, maar dan moet ik bij een klant een hele configuratie omgooien. Het moet toch gewoon normaal kunnen werken? Ik schat de kans groter dat er iets niet goed ingesteld staat.

donderdag 24 augustus 2006 19:28

Acties:
  • jipenjanneke
  • Registratie: Juli 2002
  • Laatst online: 21:05

jipenjanneke

Het moet toch gewoon normaal kunnen werken?
Je hebt gelijk. Zelf weet ik te weinig van ISA2004 om je verder te kunnen helpen. Ik heb weleens soortgelijke effecten, dat bepaalde websites (bijvoorbeeld Google) de ene keer wel en dan weer niet laden. Ik wis dan de proxy-cache, en dan werkt het weer daarna. Maar ik kijk dan niet in de logs of er dan ook denied-connections in staan. Als testje zou je ook de proxy-cache van de proxyserver tijdelijk uit kunnen zetten, dan kun je problemen uit die hoek uitsluiten.

donderdag 24 augustus 2006 20:55

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

jipenjanneke schreef op donderdag 24 augustus 2006 @ 19:28:
[...]

Je hebt gelijk. Zelf weet ik te weinig van ISA2004 om je verder te kunnen helpen. Ik heb weleens soortgelijke effecten, dat bepaalde websites (bijvoorbeeld Google) de ene keer wel en dan weer niet laden. Ik wis dan de proxy-cache, en dan werkt het weer daarna. Maar ik kijk dan niet in de logs of er dan ook denied-connections in staan. Als testje zou je ook de proxy-cache van de proxyserver tijdelijk uit kunnen zetten, dan kun je problemen uit die hoek uitsluiten.
volgens zijn screenies staat het al uit.

A wise man's life is based around fuck you

woensdag 30 augustus 2006 09:12

Acties:

Verwijderd

Topicstarter
Zwelgje schreef op donderdag 24 augustus 2006 @ 20:55:
[...]


volgens zijn screenies staat het al uit.
cache heb ik voor de zekerheid al uit staan. iemand een idee?

woensdag 30 augustus 2006 09:16

Acties:
  • bommel
  • Registratie: Januari 2001
  • Laatst online: 27-03 10:27

bommel

Heb je soms SP2 geïnstalleerd? Kan me herinneren dat er een bug (deze) in zat, later is er een hotfix voor gekomen (sorry weet zo even niet welke)

woensdag 30 augustus 2006 09:25

Acties:

Verwijderd

Topicstarter
bommel schreef op woensdag 30 augustus 2006 @ 09:16:
Heb je soms SP2 geïnstalleerd? Kan me herinneren dat er een bug (deze) in zat, later is er een hotfix voor gekomen (sorry weet zo even niet welke)
ik heb service pack 2 geinstalleerd ja, maar dat was eigenlijk om deze fout eruit te halen. maar het zat er al voor in en dus ook er na nog.

woensdag 30 augustus 2006 09:28

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 15:28

Equator

Crew Council

#whisky #barista

Met een single nic setup moet je er wel rekening mee houden dat ook alle protocollen van het interne netwerk naar de localhost mogen.
Momenteel staat er wel een rule die All outbound protocols accepteerd van internal naar local, maar die moet er ook voor inbound zijn.
Nou zit ik momenteel niet in de buurt van een ISA server dus ik moet even kijken of dit inderdaad mogelijk is.

Daarnaast vindt ik je definities van internal networks wat vreemd:

0.0.0.1 - 126.255.255.255 --> Wazig :?
172.16.10.1 - 172.16.10.20 --> Oke
172.16.100.1 - 172.16.100.254 --> Oke
128.0.0.0 - 255.255.255.254 --> Wazig :?

IMO horen de eerste en de laatste er niet tussen.

woensdag 30 augustus 2006 09:48

Acties:

Verwijderd

Topicstarter
Equator schreef op woensdag 30 augustus 2006 @ 09:28:
Met een single nic setup moet je er wel rekening mee houden dat ook alle protocollen van het interne netwerk naar de localhost mogen.
Momenteel staat er wel een rule die All outbound protocols accepteerd van internal naar local, maar die moet er ook voor inbound zijn.
Nou zit ik momenteel niet in de buurt van een ISA server dus ik moet even kijken of dit inderdaad mogelijk is.

Daarnaast vindt ik je definities van internal networks wat vreemd:

0.0.0.1 - 126.255.255.255 --> Wazig :?
172.16.10.1 - 172.16.10.20 --> Oke
172.16.100.1 - 172.16.100.254 --> Oke
128.0.0.0 - 255.255.255.254 --> Wazig :?


IMO horen de eerste en de laatste er niet tussen.
Je kunt alleen maar "all outbound traffic" configureren.
"All traffic" zit alleen onder die laatste default rule en daar kun je niets in aanpassen.

[ Voor 6% gewijzigd door Verwijderd op 30-08-2006 09:50 ]

woensdag 30 augustus 2006 09:50

Acties:

Verwijderd

Topicstarter
Equator schreef op woensdag 30 augustus 2006 @ 09:28:

Daarnaast vindt ik je definities van internal networks wat vreemd:

0.0.0.1 - 126.255.255.255 --> Wazig :?
172.16.10.1 - 172.16.10.20 --> Oke
172.16.100.1 - 172.16.100.254 --> Oke
128.0.0.0 - 255.255.255.254 --> Wazig :?

IMO horen de eerste en de laatste er niet tussen.
Dit is er door een voorganger ingezet. Aangezien ik niet het hele netwerk kan overzien, heb ik dit maar even laten staan. Het heft alleen maar beveiliging op en houdt zo niets tegen toch?

woensdag 30 augustus 2006 10:37

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 15:28

Equator

Crew Council

#whisky #barista

Verwijderd schreef op woensdag 30 augustus 2006 @ 09:48:
[...]


Je kunt alleen maar "all outbound traffic" configureren.
"All traffic" zit alleen onder die laatste default rule en daar kun je niets in aanpassen.
Je kan toch all protocols definieren :?
Verwijderd schreef op woensdag 30 augustus 2006 @ 09:50:
[...]


Dit is er door een voorganger ingezet. Aangezien ik niet het hele netwerk kan overzien, heb ik dit maar even laten staan. Het heft alleen maar beveiliging op en houdt zo niets tegen toch?
Het definieert welke netwerken intern zijn, en geeft daarmee dus op wie er waar heen mag.

Hoe zit je netwerk in elkaar, voor wat betreft IP adresseringen van HQ en eventueel nevenkantoren :?

woensdag 30 augustus 2006 10:50

Acties:

Verwijderd

Topicstarter
Equator schreef op woensdag 30 augustus 2006 @ 10:37:
[...]


Je kan toch all protocols definieren :?


[...]
ja, maar niet "all traffic", die zit alleen odner de laatste, default rule. Praten we nu langs elkaar heen?
Het definieert welke netwerken intern zijn, en geeft daarmee dus op wie er waar heen mag.

Hoe zit je netwerk in elkaar, voor wat betreft IP adresseringen van HQ en eventueel nevenkantoren :?
Alles valt binnen de 172.x.x.x range, maar het is een internationaal bedrijf met wereldwijd een aantal verstigingen en hoofdkantoor in de VS. Die regelen de active directory en domain servers. In NL staat het NL deel met zo'n 10 servers. Wat in de VS gebeurt, heb ik geen kijk op verder, maar dat is ook niet aan de orde.

woensdag 6 september 2006 13:34

Acties:

Verwijderd

Topicstarter
ok, ik heb de internal range aangepast.

alleen 172.16.10.x tot 192.168.100.x en 10.x.x.x staan er nu in.

de connection limit stond op 10.000 maar staat nu uit.

helaas: geen oplossingen :O

donderdag 7 september 2006 14:50

Acties:

Verwijderd

Topicstarter
niemand hier verstand van ISA?

woensdag 13 september 2006 09:40

Acties:

Verwijderd

Topicstarter
echt niemand nee

woensdag 13 september 2006 12:10

Acties:

Verwijderd

De denied connections zijn volgens mij allemaal afkomstig van anonymous users. Niet helemaal zeker of die in de "all users" groep zit...

woensdag 13 september 2006 19:57

Acties:
  • _Rayman_
  • Registratie: November 2001
  • Laatst online: 29-08-2023

_Rayman_

Verwacht het onverwachte.

Eerst een paar vragen:
- Maak je gebruik van een domein?
- Welk ipadres range wordt er gebruikt intern?

Wil je het volgende eens proberen:
Allereerst: Backup/export maken

Disable de volgende 2 rules:
- Local trafic
- Eappraisel

Wijzig de rule: Accept All (eigenlijk is dit een allow all in dit geval, maar goed)
From/listener van: All Networks (and Local Host) => Internal en local host
To van: All Networks (and Local Host) => External
Condition van: All authenticated users => All users

En last but not least:
- zet de proxy op de clients uit.
- Wijzig de netwerkconfiguratie naar Edge Firewall

Laat even weten of het nu wel lukt.

ps:
De eerste 2 rules zou ik samenvoegen als ik jou was en b.v. noemen: Allow All internal
Pagina: 1
Reageer